国内法律法规视角下的数据隐私治理*
2021-07-01盛小平焦凤枝
盛小平,焦凤枝
0 引言
在开放科学时代[1]与数字时代[2],开放科学坚守“开放、透明、自由、合作、共享”的基本理念,奠定了开放交流、开放共享、开放研究与开放创新的基础[3]。与此同时,数字经济正在创造大量的各种数据,数据正在成为一种丰富和宝贵的资源[4];数据驱动的决策[5]、营销[6]、设计[7]、创新[8]、科学与工程[9]、业务[10]、安全[11]、经济[12]等新业态在世界范围内初具雏形。这些新业态都不能忽视数据隐私问题。2019年1月,谷歌因违反欧盟《一般数据保护条例》(General Data Protection Regulation,GDPR)而被法国国家信息与自由委员会处以5,000万欧元罚款,主要原因是谷歌违反了控制者的信息披露义务和未有效取得用户同意,侵犯了个人数据隐私权[13]。
近年我国越来越重视数据隐私保护。《促进大数据发展行动纲要》要求在依法加强安全保障和隐私保护的前提下,稳步推动公共数据资源开放。切实加强对涉及国家利益、公共安全、商业秘密、个人隐私、军工科研生产等信息的保护[14]。《大数据产业发展规划(2016-2020年)》要求建立健全安全防护体系,保障信息安全和个人隐私。推动完善个人信息保护立法,建立个人信息泄露报告制度,健全网络数据和用户信息的防泄露、防篡改和数据备份等安全防护措施及相关的管理机制,加强对数据滥用、侵犯个人隐私等行为的管理和惩戒力度[15]。《民法典》专设“第四编第六章 隐私权和个人信息保护”。《个人信息保护法(草案)》对保护个人信息权益具有划时代的里程碑意义,但个人隐私保护在我国实践层面面临政策与法规保障不健全、尚未建立个人隐私保护机构、担心泄露数据中的隐私信息、开放平台数据安全审查与脱敏处理不规范等多重困境[16-17]。虽然许多国内外文献探讨了数据隐私问题,如数据隐私管理[18]、隐私安全保护[19]、隐私保护政策[20]、隐私保护法规[21-22]、隐私保护技术[23-24],但鲜见成果深入探讨开放科学环境下的数据隐私治理问题。在开放科学环境下,如何在追求数据共享带来的巨大经济和社会价值的同时,最大限度地保护个人的正当隐私利益,成为亟需解决的问题[25]。本文将从法律法规视角来探讨开放科学环境下的我国数据隐私治理问题,以促进我国公共数据或科学数据的开放共享,并为完善我国数据隐私治理法律法规提供参考。
1 相关概念与问题的界定
对数据隐私治理来说,首先必须了解什么是数据、数据隐私和数据隐私权,其次需要明确数据隐私关联的数据类型有哪些,侵犯数据隐私权的主要形式是什么。
1.1 数据定义
数据在不同领域、机构或学者视野中往往有不同的定义。例如,在计算机科学与通信领域,数据有3层含义[26]:(1)是数据库中数据元素、数据记录和数据文件及其相互关系的识别和描述;(2)是一种描述特征、指定关系或建立给定数据集的上下文关系的计算机程序语句;(3)是定义字段、记录或文件的信息内容和特性(如字段中的名称、长度、位置和数据类型)的一种描述。《新牛津美式英语词典》将数据定义为“收集到一起进行分析或参考的事实和统计资料”。美国质量协会(The American Society for Quality)将数据定义为“收集到的一组事实。有两种类型的数值数据:测量数据或变量数据(如16盎司、4英里、0.75英寸)、计数数据或属性数据(如162种缺陷)”。国际标准化组织(The International Standards Organization)将数据定义为“以一种适合于通信、解释或处理的正规化方式对信息进行重新解释的表示”。如今人们经常使用“数据”这个词来指存储在数据库或其他计算机应用程序中并通过电子方式共享的事实。这些事实可能是测量、编纂的信息,或世界上物体的简单描述性属性,如名称、位置和物理特征[27]。然而,数据和信息概念在目前诸多法律文件和资料中两者经常相互指代[28]。例如,GDPR规定:“个人数据是指与一个已识别或可识别的自然人相关的任何信息,该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别介质,或者是通过参照针对该自然人一个或多个物理、生理、遗传、心理、经济、文化或社会身份的要素。”[29]而在《个人信息保护法(草案)》中,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”[30]。这两个术语在法律上的界定都类似,那么,有些人把数据看作是信息的同义词[31]也不足为怪。然而,笔者认为,我们应该明确数据与信息是两个不同的概念;数据是“信息的原材料”,信息是“在上下文语境下的数据”[32]。笔者认同如下数据定义——数据是指对客观事件进行记录并可以鉴别的符号,是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合。它既可以是狭义上的数字,也可以是具有一定意义的文字、字母、数字符号的组合、图形、图像、视频、音频等,还可以是客观事物的属性、数量、位置及其相互关系的抽象表示[33]。基于这个数据定义,本文进一步探讨数据隐私及其治理问题。
1.2 数据隐私与数据隐私权的定义
依据《民法典》,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息[34]。隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权[35]。由此可见,隐私仅仅是自然人所拥有的。换句话说,只有自然人针对隐私才享有需要法律保护的精神利益。法人、非法人组织并不存在隐私问题,即使他们也存在不愿意为他人所知的活动、信息或不被打扰破坏的工作需要,但这些要么属于国家秘密、商业秘密,要么属于生产经营秩序或者公共活动秩序的范畴[36]。不过,根据欧洲人权法院判例法,那些可能影响人的健康及对私人和家庭生活造成影响的环境污染,包括来自垃圾填埋场的难闻气味,靠近监狱以及家庭成员的葬礼事项等,也被纳入隐私权范畴[37]。
传统的隐私与隐私权概念是围绕着保护我们自己和我们的活动不受外人的影响,但是数据隐私作为一个概念直到20世纪晚期互联网的诞生以及计算机和移动电话的指数级增长使用才出现[38]。对于什么是数据隐私,目前缺少权威的定义,涌现了多种不同观点:一是数据隐私即信息隐私,通常是指在各种不同的情景中提供给私人行为者的与个人信息相关的特定类型的隐私[39]。二是数据隐私是数据安全的一个分支,涉及数据的适当处理——同意、通知和监管义务,即数据隐私包括是否或如何与第三方共享数据、如何合法地收集或存储数据、监管限制三方面问题[40]。三是数据隐私是数据管理的一个分支,需处理与第三方的共享数据。它通常是基于保护消费者信息,并赋予消费者在未经同意或不知道这一事实的情况下向其他组织保留其信息的权利;同时将设立不同级别的控制来保护这些信息不受第三方侵犯,必要时取得数据主体的同意,并维持数据的完整性[41]。四是数据隐私是信息技术的一部分,可帮助个人或组织确定系统中的哪些数据可以与他人共享,哪些数据应该受到限制[42]。五是数据隐私是指一个人控制个人信息行踪的能力,重要的是信息流的“自我决策”[43]。六是数据隐私是指个人及组织拥有的在收集、分享、使用及披露该个人或组织机构信息的利益[44]。
到底什么是数据隐私?由于数据与信息并非同一个概念,所以数据隐私与信息隐私也应该不同。虽然数据隐私与数据安全、数据管理、信息技术都有紧密联系,但不是包含关系。笔者认为,应该综合自然人、数据、隐私三个概念,把数据隐私定义为:数据隐私是以个人数据形式记录或以数字方式描绘的自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。数据隐私权是自然人对其数据隐私依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权。
1.3 数据隐私关联的数据类型
基于上述数据隐私的定义,数据隐私关联的数据类型包括:
(1)个人数据。它是与数据隐私关系最密切的一类数据。任何可能敏感或可能被某人恶意使用的个人数据都属于其中,主要包括在线隐私、财务隐私、医疗隐私、居住和地理记录、政治偏好隐私等。其中,在线隐私包括所有在线交互期间提供的个人数据,如社会保障号码、出生日期;财务隐私包括任何在线或离线共享的个人财务信息,如财务数据、银行账户和信用卡号码;医疗隐私包括个人的任何健康和医疗记录[42,45]。
(2)与数据隐私相关的政府数据。某些政府机构或部门提供的项目、资助、社会救济等事务,往往包含一些敏感的个人数据,如受资助者身份证号码、研究领域与特长、个人经济状况、工作单位、地址。随着政府数据开放运动的进一步发展,若不能妥善处理政府数据中敏感的个人数据,很可能引起数据隐私泄露问题。
(3)与数据隐私相关的公共服务数据。学校、图书馆、数据中心、医院和其他公共服务机构在开展相关公共服务时,往往收集或记载了大量个人数据,如个人健康和医疗记录、个人姓名与身份证号码、个人受教育情况、个人兴趣与爱好。随着数字化、网络化公共服务的进一步发展,相关公共服务机构会面临更多的侵犯个人数据隐私权的风险。
(4)与数据隐私相关的科学数据(或研究数据)。社会科学领域的许多研究,如新冠肺炎疫情分析、中国互联网络发展状况调查、消费者购买力分析、犯罪行为分析、人口普查,都要收集大量个人数据,其中可能包含许多敏感个人数据,如家庭成员、收入水平、消费倾向、个人特性。这些个人数据是支撑相关研究的基础,但在未经数据主体明确同意或授权、且未对这些数据进行匿名或脱敏的情况下公布出来,就会侵犯数据隐私权。
1.4 侵犯数据隐私权的主要形式
在开放科学环境下,对数据隐私的侵犯存在多种形式[46]:(1)以不正当方式收集个人数据。任何通过欺诈、偷窥、监视等不正当手段取得个人数据的行为都属于侵权行为,比如翻查废弃物、偷窥、社交欺诈、监视、网站过度收集或通过Cookies、IP地址等专业工具非法收集个人数据与个人数字资源。(2)个人数据泄露。是一种对传输、存储或以其他方式处理的个人数据产生意外或非法销毁、丢失、更改、未经授权披露或访问的安全破坏。2007年国际数据公司(International Data Corporation)调查发现数据泄露是头号威胁,排名高于病毒、特洛伊木马和蠕虫[47]。个人数据泄露行为,如不能及时适当处理,可能会对自然人造成身体、物质或非物质损害,包括失去对个人资料控制;用户权限的限制;歧视;身份盗窃或欺诈;经济损失;擅自颠倒假名;名誉受损;失去受专业保密保护的个人数据的机密性;对相关自然人带来任何其他重大经济或社会的损失[38]。(3)非法使用个人数据。主要是指数据处理者未经数据主体同意或授权的情况下二次开发利用个人数据,比如私自开展的个人数据挖掘、个人数据整合、超权限使用个人数字资源等。(4)非法交易个人数据,比如网络服务提供商员工非法贩卖他人数据以谋取暴利。(5)实时监控使人丧失私密空间、私密活动和私密信息。(6)线上或线下恶意传播隐私或诽谤中伤。(7)黑客入侵与盗窃个人数据。
2 我国数据隐私治理的法律依据
法律法规是治理数据隐私的最有效利器。我国虽然没有制定数据保护法或隐私法,但在国家层次上已经颁布了一系列与数据隐私治理相关的法律、法规、规章。本文对相关数据获取的途径主要是:(1)通过浏览“中华人民共和国司法部中国政府法制信息网”上公开的“法律法规规章”栏目,逐一阅读相关法律、法规、规章,凡涉及“隐私”条款的都被纳入表1中;(2)基于现有成果提及到某法律法规可作为“数据隐私治理”依据的,如《宪法(2018修正)》《刑法(2017修正)》,也被纳入表1中,它们在全国范围内筑固了数据隐私治理的法律基石。此外,地方政府权力机关还制定了许多与数据隐私治理相关的法规或规章,由于它们仅适用于本地区,这里不对它们进行讨论;我国还颁布了一些与数据隐私治理相关的国家标准,如《信息安全技术公共及商用服务信息系统个人信息保护指南》《信息安全技术个人信息安全规范》等,由于这些标准不属于法律法规,所以也不把它们纳入分析范畴。
表1 与数据隐私治理相关的全国性法律法规
从整体看,表1中与数据隐私治理相关的全国性法律法规具有几个特征:(1)法律法规种类繁多,既包含《宪法(2018修正)》,也包含刑事、民事、经济、行政等方面的相关具体法律法规与规章(共计21部)。(2)不同法律法规在数据隐私治理上的作用有明显差异。例如,《宪法(2018修正)》是数据隐私治理的基础;《刑法(2017修正)》可以对侵犯个人数据隐私权的各种行为给予最严厉的惩罚;《民法典》和《侵权责任法》是将隐私权作为其保护的权益,明确规定了需要承担的侵权责任及其方式。(3)目前国内隐私治理法律法规往往是针对“个人信息”而言的,特别是《个人信息保护法(草案)》比较全面地规范了个人信息权益。由于个人数据是一种形式的个人信息,因此,上述以“个人信息”为焦点的全国性法律法规适用于“个人数据隐私治理”。
3 全国性法律法规视角下的数据隐私治理规范
上述21部法律法规从权利、义务、责任三方面确立了国内数据隐私治理的法律框架。
3.1 数据隐私权利治理规范
我国迄今没有颁布一部规范数据隐私权利的法律法规,但是一些相关的全国性法律法规确立了与数据隐私治理相关的如下权利:
(1)隐私权。自然人享有隐私权(《民法典》第110条和第1032条)。隐私权受《侵权责任法》保护(《侵权责任法》第2条)。
(2)拒绝权。《个人信息保护法(草案)》规定:个人有权限制或者拒绝他人对其个人信息进行处理(第44条);个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定(第25条)。
(3)通信自由权。公民的通信自由和通信秘密受法律的保护[《宪法(2018修正)》第40条]。
(4)请求查阅权与复制权。个人或自然人可以依法向信息处理者查阅或者复制其个人信息[《民法典》第1037条;《个人信息保护法(草案)》第45条]。
(5)请求修正权与删除权。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充;个人信息处理者在下列情形之一下,应当主动或者根据个人的请求,删除个人信息:约定的保存期限已届满或者处理目的已实现;个人信息处理者停止提供产品或者服务;个人撤回同意;个人信息处理者违反法律、行政法规或者违反约定处理个人信息;法律、行政法规规定的其他情形[《个人信息保护法(草案)》第46、47条]。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除(《民法典》第1037条)。《网络安全法》第43条以及《儿童个人信息网络保护规定》第20条和第23条对网络运营者、《加强网络信息保护的决定》第8条对网络服务提供者都有类似规定。
(6)知情权。国内多部法律法规涉及知情权问题。《个人信息保护法(草案)》规定:个人对其个人信息的处理享有知情权、决定权(第44条);基于个人同意而进行的个人信息处理活动,个人有权撤回其同意(第16条)。网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意(《网络安全法》第22条)。未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息(《电信和互联网用户个人信息保护规定》第9条)。网络运营者应当遵循知情同意原则来收集、存储、使用、转移、披露儿童个人信息,并以显著、清晰的方式告知儿童监护人和征得儿童监护人的同意;网络运营者停止运营产品或者服务时,应将停止运营的通知及时告知儿童监护人(《儿童个人信息网络保护规定》第7、9、23条)。
3.2 数据隐私治理义务规范
(1)合法、合理处理个人信息。《民法典》第111条、《网络安全法》第44条、《基本医疗卫生与健康促进法》第92条规定:任何组织或者个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。处理个人信息应当遵循合法、正当、必要原则,不得过度处理,并征得该自然人或者其监护人同意,公开处理信息的规则,明示处理信息的目的、方式和范围,且不违反法律、行政法规的规定和双方的约定[《民法典》第1035条;《个人信息保护法(草案)》第5、6、7、10条]。网络运营者应加强对用户发布信息的管理,发现法律、行政法规禁止发布或传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向主管部门报告(《网络安全法》第47条)。电子商务经营者收集、使用用户的个人信息,应遵守法律、行政法规有关个人信息保护的规定(《电子商务法》第23条)。
(2)不能侵犯隐私权,对隐私和个人信息保密。《民法典》规定:任何组织或个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权(第1032条)和以其他方式侵害他人的隐私权以及处理他人的私密信息(第1033条)。国家机关、承担行政职能的法定机构及其工作人员对履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或向他人非法提供(《民法典》第1039条、《网络安全法》第45条等)。个人信息处理者不得公开其处理的个人信息[《个人信息保护法(草案)》第26条]。信息处理者不得泄露或篡改其收集、存储的个人信息,未经自然人同意,不得向他人非法提供其个人信息(经过加工无法识别特定个人且不能复原的除外);信息处理者对发生或可能发生的个人信息泄露、篡改、丢失,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告(《民法典》第1038条)。网络运营者应当对其收集的用户信息严格保密(《网络安全法》第40条);不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意,不得向他人提供个人信息(《网络安全法》第42条),且不得从事非法窃取网络(个人)数据的活动和提供专门用于从事窃取网络(个人)数据的程序与工具(《网络安全法》第27条)。任何组织或个人不得披露未成年人的个人隐私(《未成年人保护法》第39条);对未成年人犯罪案件、新闻报道、影视节目、公开出版物、网络等不得披露该未成年人的姓名、住所、照片、图像以及可能推断出该未成年人的资料(《未成年人保护法》第58条)。医疗卫生机构、医疗卫生人员应当保护患者隐私(《基本医疗卫生与健康促进法》第33条);各级各类医疗卫生机构和相关企事业单位不得泄露个人隐私[《国家健康医疗大数据标准、安全和服务管理办法(试行)》第35条]。统计机构和统计人员对在统计工作中知悉的个人信息应当予以保密(《统计法》第9条),任何单位和个人不得对外提供、泄露统计调查中获得的能够识别或推断单个统计调查对象身份的资料,不得用于统计以外的目的(《统计法》第25条)。人民法院不公开审理涉及个人隐私的案件;对涉及个人隐私的证据应当保密,需要在法庭出示的,不得在公开开庭时出示[《民事诉讼法(2017修正)》第68、134条]。
(3)对个人信息处理活动进行风险与安全评估。个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录:处理敏感个人信息;利用个人信息进行自动化决策;委托处理个人信息、向第三方提供个人信息、公开个人信息;向境外提供个人信息;其他对个人有重大影响的个人信息处理活动[《个人信息保护法(草案)》第54条]。关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储;因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估[《网络安全法》第37条、《个人信息保护法(草案)》第40条]。国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动;国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制;国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查;重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告[《数据安全法(草案)》第16、20、22、28条]。网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议;网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估(《儿童个人信息网络保护规定》第16、17条)。
(4)保障个人信息安全。个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全[《个人信息保护法(草案)》第9条];防止信息泄露、篡改、丢失(《民法典》第1038条)。网络运营者应当防止网络(个人)数据泄露或者被窃取、篡改,采取技术措施和其他必要措施来确保其收集的个人信息安全(《网络安全法》第21、42条);《儿童个人信息网络保护规定》第13、21条)。任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息(《儿童个人信息网络保护规定》第4条)。电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责(《电信和互联网用户个人信息保护规定》第6条)。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全(《电子商务法》第25条);防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为(《加强网络信息保护的决定》第10条)。各级各类医疗卫生机构和相关企事业单位应当依法依规使用健康医疗大数据有关信息,确保公民隐私保护和数据安全;任何单位和个人不得擅自利用和发布未经授权或超出授权范围的健康医疗大数据,不得使用非法手段获取数据[《国家健康医疗大数据标准、安全和服务管理办法(试行)》第21、22条]。
(5)监督和管理个人信息保护工作。网络运营者建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报,积极配合网信部门和有关部门依法实施的监督检查(《网络安全法》第49条)。电信业务经营者、互联网信息服务提供者应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务;电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查(《电信和互联网用户个人信息保护规定》第11、17条)。卫生健康行政部门应当建立公民隐私保护等软件评价和安全审查保密制度,会同相关部门建立健康医疗大数据安全管理工作责任追究制度[《国家健康医疗大数据标准、安全和服务管理办法(试行)》第39、40条]。人民法院支持被侵权人请求网络用户或者网络服务提供者因其利用网络公开自然人个人隐私和其他个人信息且造成他人损害时承担侵权责任;也支持被侵权人请求网络用户或者网络服务提供者因误用或滥用国家机关依职权制作的文书和公开信息侵害他人人身权益时承担侵权责任(《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12、13条)。
3.3 数据隐私治理责任规范
(1)侵害隐私权应当承担侵权责任(《侵权责任法》第2条)。偷窥、偷拍、窃听、散布他人隐私的,将处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款(《治安管理处罚法》第42条)。对依法负有电子商务监督管理职责的部门的工作人员泄露、出售或者非法向他人提供在履行职责中所知悉的个人信息和隐私的行为依法追究法律责任(《电子商务法》第87条)。
(2)“侵犯通信自由罪”的法律责任。隐匿、毁弃或者非法开拆他人信件以及侵犯公民通信自由权利属于“侵犯通信自由罪”的行为,情节严重的,处一年以下有期徒刑或者拘役[《刑法(2017修正)》第252条]。
(3)“侵犯公民个人信息罪”的法律责任。违反国家有关规定,向他人出售或者提供公民个人信息属于“侵犯公民个人信息罪”,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金[《刑法(2017修正)》第253条之一]。违反《基本医疗卫生与健康促进法》规定,泄露公民个人健康信息者将由县级以上人民政府卫生健康主管部门依照有关执业医师、护士管理和医疗纠纷预防处理等法律、行政法规的规定给予行政处罚;非法收集、使用、加工、传输公民个人健康信息,非法买卖、提供或者公开公民个人健康信息等,构成违反治安管理行为的,依法给予治安管理处罚(《基本医疗卫生与健康促进法》第102、105条)。
(4)侵害个人信息权利的法律责任。网络运营者、网络产品或者服务的提供者违反《网络安全法》第41至43条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反《网络安全法》第44条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款(《网络安全法》第64条)。
(5)不履行数据安全或网络安全保护的法律责任。开展数据活动的组织、个人不履行《数据安全法(草案)》规定的数据安全保护义务或者未采取必要的安全措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款[《数据安全法(草案)》第42条]。网络运营者不履行《网络安全法》第21条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款(《网络安全法》第59条)。
(6)违反《个人信息保护法(草案)》的法律责任。违反《个人信息保护法(草案)》规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任[《个人信息保护法(草案)》第62、67条]。
(7)违反《加强网络信息保护的决定》的法律责任。对有违反《加强网络信息保护的决定》行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任(《加强网络信息保护的决定》第10条)。
(8)违反《电信和互联网用户个人信息保护规定》的法律责任。电信业务经营者、互联网信息服务提供者违反《电信和互联网用户个人信息保护规定》的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任;电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法处理或追究刑事责任(《电信和互联网用户个人信息保护规定》第23、24条)。
3.4 数据隐私治理法律法规的不足
我国初步建立国家层次的数据隐私治理法律法规体系,改善了国内隐私权保护,但数据隐私治理法律法规还有一些不足之处,主要包括:
(1)没有有效解决数据开放与个人隐私保护之间的冲突问题。开放科学对于解决科学研究中的再现性挑战是至关重要的,同时可以促进验证先前结果或建立在先前结果之上的未来研究。然而,数据开放自然而然地增加了数据隐私泄露的风险。特别是在开放网络环境下,非法记录、追踪个人网上活动成为可能。例如,一些软件与系统开发者、电信业务经营者或互联网信息服务提供商通过对他人互联网使用痕迹如网页浏览记录、网上购物详情、社交软件聊天记录等进行全程记录、监控、分析以及二次利用,就可追踪个人日常的网上活动与隐私信息,无形之中侵犯了个人数据隐私权与网络隐私权。虽然理论上研究人员可以利用匿名或去识别化技术来在开放数据和人类主体隐私之间进行平衡,但是即使是匿名的数据也可以显示出有关人类主体的私人信息,这是因为,即使不是被标记为个人可识别的特征也可能仍然包含与个人有关的敏感信息,通过将这些数据与其他可公开获得的资源联系起来,可以重新确定个人的身份。此外,数据开放共享还可能使某些人利用各种黑客程序、Cookies、病毒程序侵犯个人网络空间隐私变得更加隐蔽和容易,加剧个人网络空间隐私被侵犯的危害程度。尤其是当蕴含个人隐私的数据一旦开放共享,一般不受控制,很难去追溯某位公民的个人隐私数据究竟落入哪些主体、多少主体手中,进而也就无法彻底删除已泄露的个人隐私信息[25]。因此,开放数据与人类主体隐私保护之间的适当平衡仍然是一个重大挑战[67]。我国现有数据隐私治理法律法规没有相关条款来规范数据开放与个人隐私保护之间的冲突,这成为开放科学环境下我国数据隐私治理必须着力解决的首要问题。
(2)没有有效解决公众知情权与个人隐私权之间的冲突问题。在开放社会与开放科学环境下,数据开放不仅仅是学者们身体力行的行为,也是各级政府积极倡导的重要事务。开放政府数据可以促进决策过程的公开和透明,并培养公民的信任。然而,政府也储存了大量敏感的个人信息,这些信息的泄露可能会损害个人隐私。这就需要平衡公众知情权与个人隐私权的冲突与利益[68]。尽管我国《民法典》已经明确自然人享有隐私权,《消费者权益保护法》《电子商务法》《网络安全法》《基本医疗卫生与健康促进法》《合同法》《政府信息公开条例》《电信和互联网用户个人信息保护规定》《儿童个人信息网络保护规定》等都有规范知情权的条款,但是缺少平衡公众知情权与个人隐私权的法律条文,没有建立公众知情权与个人隐私权平衡保护的原则与机制,也就是说,没有从法律法规上有效解决公众知情权与个人隐私权之间的冲突问题。
(3)没有有效解决个人数据跨境传输与隐私保护的冲突问题。在开放科学环境下,个人数据在全球的跨境传输、共享愈加重要和普遍。我国《大数据产业发展规划(2016-2020年)》明确要求“推动建立数据跨境流动的法律体系和管理机制,加强重要敏感数据跨境流动的管理”。《个人信息保护法(草案)》第三章公布了个人信息跨境提供的6条规则(第38至43条)。这是继国家互联网信息办公室2019年6月13日发布《个人信息出境安全评估办法(征求意见稿)》通知后,首次对个人信息跨境传输提供法律规范。第38条强调个人信息处理者进行跨境个人信息提供应当至少满足下列条件之一:依照本法第四十条的规定通过国家网信部门组织的安全评估;按照国家网信部门的规定经专业机构进行个人信息保护认证;与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;法律、行政法规或者国家网信部门规定的其他条件。不过,目前的6条规则没有明确涉及隐私保护问题。《信息安全技术个人信息安全规范》《网络安全法》也没有较好地解决个人数据跨境传输与隐私保护的矛盾。
(4)没有提供完善的数据隐私权救济机制。依据我国当前立法,隐私权的救济主要体现在《民法通则(2009修正)》第134条、《民法典》第179条和《侵权责任法》第15条上,包含停止侵害、排除妨碍、赔偿损失、消除影响和恢复名誉、赔礼道歉5种救济方式。然而,这些救济方式面临一些尴尬问题,比如:缺乏预防性救济措施;侵犯数据隐私权的救济途径不完善;传统的救济方式不能完全有效解决数据隐私权侵权问题。
(5)我国缺乏专门的《隐私法》《个人数据保护法》。我国虽然颁布了许多与个人隐私保护相关的法律,但是没有制定专门的《隐私法》或《个人数据保护法》,也没有在法律上界定数据隐私权包括哪些权利。《数据安全法(草案)》没有把“数据隐私”纳入其中;《个人信息保护法(草案)》全文没有出现“隐私”或“数据”词语,且没有像GDPR一样详细规范数据主体权利。纵观国外隐私立法,澳大利亚、加拿大、美国、希腊、以色列、新西兰、菲律宾、乌干达、匈牙利、葡萄牙等国家都制定了专门的《隐私法》;全球90个国家和地区制定了个人信息保护法律[69],如加拿大、日本、韩国等国的《个人信息保护法》;英国、德国、新加坡、法国分别颁布了《数据保护法案(1984)》《联邦数据保护法》《个人数据保护法》《数字共和国法案》;欧盟于2016年出台了GDPR。这些法律对于相关国家或组织实施数据隐私治理发挥了支撑与保障作用。
4 加强我国数据隐私治理的建议
4.1 制定《隐私法》,建立健全数据隐私治理法律体系
《隐私法》可以为本国数据隐私治理提供卓有成效的法律保障。例如,美国数据隐私受到联邦和州法律的复杂框架保护[39]。在联邦框架内,美国国会颁布一系列旨在为个人信息提供法定保护的联邦法律,包括《通信法(1934)》《隐私法(1974)》《电信法(1996)》《电子通信隐私法》《家庭教育权利和隐私法》《视频隐私保护法》《健康保险可携性和问责法》《儿童在线隐私保护法》《公平信用报告法》《计算机欺诈和滥用法》《联邦贸易委员会法》《消费者金融保护法》《格雷姆-里奇-比利雷法》(Gramm-Leach-Bliley Act,又名《金融服务现代化法》)[70],由此构建了个人数据隐私保护的联邦法律体系。其中《隐私法(1974)》规定[71]:(1)不得非法披露个人记录(数据),即任何机构均不得通过任何方式向任何人或其他机构披露记录系统中包含的任何记录,除非根据该记录所涉及的个人的书面要求或事先取得该个人的书面同意,但某些法定的记录披露是允许的。(2)个人有权查阅联邦机关记录中与本人相关的记录和对它进行更正或修改。(3)政府机构应该履行的责任与义务,比如:在其记录中仅保留与完成机构法令或总统行政命令所要求完成的目的相关和必要的个人信息;维持机构对任何个人作出任何决定时所使用所有记录的准确性、相关性、及时性和完整性;建立个人参与设计、开发、操作或维护任何记录系统或任何记录的行为规则;建立适当的管理、技术和物理安全措施,以确保记录的安全性和保密性并防止相关威胁或危害等。不过,该法对隐私的关注侧重于保护个人免受政府的侵扰,而不是保护个人免受他人的侵扰。由于现代数据隐私治理不仅仅是数据披露问题,涉及到更广泛的数据收集、保护和使用问题,因此,美国国会颁布了上述诸多联邦法律来支撑其他领域或行业的数据隐私治理。
对比中美两国数据隐私保护立法,尽管我国已经颁布21部相关的全国性法律法规,但是缺少专门的《隐私法》,更没有像美国一样制定某种特定行业或人群的隐私法,致使国内数据隐私治理缺少具有较强操作性的法律法规的支撑。因此,在国内数据隐私侵权时有发生的情况下,我国应该借鉴国外隐私法立法经验,以制定适应开放科学、开放社会环境下的《隐私法》作为突破口,确立个人隐私保护的法律条款,比如,对个人隐私的内涵和范围进行明确界定,以列举形式逐条列出,使其更具参照性,以解决数据开放(或信息公开)与个人隐私保护之间的冲突问题;确立个人数据处理机构的资格审查、登记制度以及个人数据处理行为规范;确立数据开放的隐私保护措施;确立数据跨境传输的隐私保护措施;确立个人隐私侵权救济制度等[72]。同时,还需修改和完善其他法律法规中有关个人隐私保护的内容,以建立健全我国数据隐私治理的法律法规体系。
4.2 以完善《个人信息保护法(草案)》为契机,筑固数据隐私治理机制
在法律语言中,信息与数据似一对孪生兄弟,让人难以辨别[73],以至于目前鲜见一个国家同时颁布《个人信息保护法》与《个人数据保护法》。按照这种惯例,我国公布《个人信息保护法(草案)》并征求意见后,将会经过进一步完善最终颁布《个人信息保护法》,很可能不会再制定《个人数据保护法》。基于这种思维逻辑,应该以完善《个人信息保护法(草案)》为契机,筑固我国数据隐私治理机制。
(1)把个人数据纳入《个人信息保护法(草案)》保护范围。由于个人数据未出现在《个人信息保护法(草案)》中,出于个人数据保护与数据隐私治理的需要,建议把个人数据纳入“个人信息”范畴,即“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息和数据,不包括匿名化处理后的信息和数据。”这样定义的“个人信息”就明确包含个人数据,从而奠定数据隐私治理的法理基础。
(2)确立个人数据与信息保护原则。《个人信息保护法(草案)》规定:处理个人信息应当采用合法、正当的方式,遵循诚信原则(第5条);处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理(第6条);处理个人信息应当遵循公开、透明的原则,明示个人信息处理规则(第7条);为实现处理目的,所处理的个人信息应当准确,并及时更新(第8条)。虽然上述条款有的说明了个人信息保护原则,有的包含个人信息保护原则的理念,但并没有十分明确地写明个人数据与信息保护原则。借鉴英国《数据保护法(2018)》条款[74],在修订《个人信息保护法(草案)》时补充如下6项个人数据与信息保护原则:合法且公平原则、处理目的具体明确原则、个人数据准确和相关且不过量原则、个人数据保持更新原则、个人数据保存不得长于必需原则、以安全方式处理个人数据原则,以便为有效解决公众知情权与个人隐私权之间的冲突问题奠定法律基础。
(3)完善个人数据权利或信息权利。《个人信息保护法(草案)》第四章规定:个人对其个人信息的处理享有知情权、决定权、限制处理权、拒绝权(第44条),查阅与复制权(第45条),修正权(第46条),删除权(第47条),请求解释权(第48条),免受自动化决策权(第25条)等。这些权利基本上实现了与GDPR界定的数据主体权利的接轨,但仍缺少撤回同意权、可携带权等[29]。建议在《个人信息保护法(草案)》中补充撤回同意权、可携带权两项权利,以便更好地进行个人数据与信息的处理,特别是跨境个人数据与信息的传输。
(4)完善个人数据与信息处理者的义务。《个人信息保护法(草案)》规定的个人信息处理者的主要义务包括:一是应当采取必要措施(如制定内部管理制度和操作规程、对个人信息实行分级分类管理、采取相应的加密和去标识化等安全技术措施、合理确定个人信息处理的操作权限和定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案等)确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除(第50条);二是应当公开个人信息保护负责人的姓名、联系方式等,并报送履行个人信息保护职责的部门(第51条);三是应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计(第53条);四是应当对包括处理敏感个人信息、利用个人信息进行自动化决策、向境外提供个人信息等个人信息处理活动进行事前风险评估,并对处理情况进行记录(第54条);五是对信息泄露立即采取补救措施,并通知履行个人信息保护职责的部门和个人(第55条)。这些有助于规范个人数据与信息处理者对个人数据与信息的操作和管理,但应该看到某些地方仍待完善。例如,《个人信息保护法(草案)》第六章虽然明确了“履行个人信息保护职责的部门”的义务,但是没有指明到底由谁来执行,这有可能使个人信息保护不能落到实处。事实上,GDPR要求控制者和处理者任命一名数据保护官,公布其联系方式并报告给监管机构[29]。因此,把设立个人信息保护官或个人数据保护官写入第六章条款中,以便通过充分发挥其领导、组织与协调作用来更好地实施个人数据与信息保护。
(5)完善个人数据与信息跨境传输安全保护机制。《个人信息保护法(草案)》第三章指出,个人信息跨境提供需要满足安全保障原则(第38、40条)、知情同意原则(第39条)、司法协助原则(第41条)、限制与禁止原则(第42条——国家网信部门可以对境外从事损害我国公民的个人信息权益或者危害我国国家安全、公共利益的个人信息处理活动的组织或个人,列入限制或者禁止个人信息提供清单)、对等处理原则(第43条——我国可以根据其他国家和地区在个人信息保护方面对我国采取歧视性的禁止、限制或者其他类似行动,对该国家或者该地区采取相应措施)。这些条款无疑可以为我国个人数据与信息跨境传输提供安全保护。不过,《个人信息保护法(草案)》还应该强调与补充质量原则(个人数据与信息应该与其被使用目的相关,并且是准确、完整和最新的)、目的规范原则(应当在个人数据与信息跨境传输前明确说明收集这些个人数据与信息的目的,且其后的使用应当限制于这些目的)、责任原则(个人信息/数据处理者或控制者应该遵循本法确定的个人数据与信息跨境传输安全保护原则和措施)[75],从而健全我国个人数据与信息跨境传输安全保护机制,为跨境数据隐私治理提供法律准绳。
5 结语
如今世界比以往任何时候都更紧密地联系在一起[76],数据隐私权侵权行为时有发生。从“2019年我国个人信息与隐私保护十大法治事件”来看,被告人陈德武等5人因倒卖2亿余条公民个人信息而受到刑事处罚的大案,中央网信办、工信部、公安部、市场监管总局等四部门联合在全国范围组织开展App违法违规收集使用个人信息的专项治理行动,国家市场监管总局等8部门联合开展的2019网络市场监管专项行动(网剑行动)等事件[77],集中反映出我国数据隐私治理面临许多新挑战。比如,个人信息或个人数据的收集、开发和利用本应该以保护个人信息权利和隐私权为前提[78],但将社交网络数据等新形式的个人数据用作研究资源时是否对个人隐私构成风险、甚至侵犯个人隐私等方面还缺少规范;目前国内数据保护与隐私治理法律法规并不健全。因此,我国应该借鉴国外数据保护法或隐私法,制定我国《隐私法》,同时进一步完善包括《个人信息保护法(草案)》在内的与数据隐私治理相关的各种法律法规,最终形成支撑开放科学、开放网络环境下进行数据保护和隐私治理的法律法规体系。